匿名質問サービス「Peing」が再開 脆弱性発覚から約2日間、メンテ繰り返す

[ITmedia]

　Twitterユーザーが匿名で質問を受けられる「Peing-質問箱-」が1月31日昼、サービスを再開した。第三者にアカウントを悪用される脆弱性が見つかり、28日夜からメンテナンスを繰り返していたが、運営会社のジラフは「安全にサービスが提供できる状態になった」と判断したという。

　28日夕方、ユーザーから脆弱性について指摘を受け、メンテナンスを始めた。ユーザーのTwitterトークンを第三者が閲覧でき、本人になりすましてツイートを投稿できる恐れがあると分かった。28日午後10時ごろには、そうした悪用ができないよう対応したという。

ジラフが28日に発表した「Peing-質問箱-に関するお詫びと詳細のご説明（第一報）」より

　翌29日午後8時にメンテナンスを終えたが、直後に「第三者からメールアドレスやハッシュ化パスワードが閲覧できる状態だ」とTwitter上で声が上がり、午後8時40分ごろ再びメンテナンスに入った。

　Peingの公式Twitterアカウントは31日昼、「指摘された箇所の修正に加え、各API、ページを網羅的に確認し、安全にサービスを提供できる状態になったと判断した」とツイート。午後0時40分にサービスを再開した。

　Peing側は、メールアドレスを悪用したフィッシング詐欺や、メールアドレス、アカウント名などを使い回して登録した他のサービスでの不正ログインなどの被害が起こり得ると注意喚起。Peingだけでなく、同じパスワードを利用しているサービスのパスワードも変更するよう呼び掛けている。

Peingの公式Twitterアカウントより